While working on frontend security projects, I encountered Frontend - here's what I learned.

Have questions? Feel free to ask in the comments section below.

正文

As frontend developers we often thing of security as a somebody-else problem. It's true that the bigger issues are tackled in the backend,

In modern web development, Frontend has become increasingly important. Developers need to understand the security implications and best practices.

When implementing Frontend, there are several key considerations. First, performance optimization is crucial. Second, security must be addressed at every layer.

Many developers overlook the importance of proper error handling and debugging techniques.

The ecosystem around Frontend continues to evolve rapidly. New libraries and frameworks emerge regularly.

Testing is another critical aspect that shouldn't be neglected.

More Details

There are a few more points worth noting. First, browser compatibility varies across different browsers. Second, performance optimization is crucial when handling large amounts of data. Finally, key management is also an important consideration.

This article was first published on JSVMP Blog. Reposting with attribution is welcome.

Reference: Frontend Security: The Front Fell Off | by Matt Burgess - Medium

在做前端安全相关需求时，The这个问题绕不开，刚好把踩坑经验分享一下。

Want to learn advanced techniques? Check out our premium courses.

正文

Java是世界上使用最广泛的编程语言之一，为从企业应用程序到Web浏览器的所有内容提供支持。Java的独特之处在于它是一种在虚拟机上运行的编译语言。这意味着Java应用程序可以在安装了兼容Java虚拟机(JVM)的任何平台上运行。但随着它的普及，企业必须应对一系列特定的安全挑战，以保护其系统和数据。JVM本身就是一个潜在的

让我们探讨三个关键挑战以及如何应对它们。

由于Java被编译为字节码，因此它呈现为正则表达式—大多数人看起来无法读取，并且需要更深层次的领域知识才能有效保护。网络安全团队必须能够理解Java语言及其执行环境的复杂性，以适当防范威胁。

Java最困难的方面之一是它的体系结构，它允许在运行时动态加载代码。攻击者可以使用此功能将恶意代码注入Java应用程序并绕过传统的安全措施。对Java应用程序的跨站点脚本(XSS)攻击也允许攻击者在受害者的计算机上执行任意代码。

当恶意行为者将恶意代码注入网页时，就会发生XSS攻击，然后由不知情的访问者对受感染的网站执行。这可能允许攻击者窃取敏感信息，如密码、会话令牌或其他用户数据。Java应用程序特别容易受到XSS攻击，因为它们通常依赖用户输入来生成网页。

另一个挑战是Java生态系统的庞大规模。Java虚拟机（ JVM ）被全球数百万开发人员使用，并且有成千上万的第三方库和框架可用于Java。这使得企业很难跟踪其Java应用程序中的所有依赖项并确保它们是安全的。

这就是Log4j在2021年11月接管互联网的方式。Log4j是Java基础架构中广泛使用的日志库，这意味着基本上任何使用Java应用程序的公司都会受到影响。由于许多企业依赖Java应用程序，因此简单地关闭它们将损害其系统的功能。

面对这些挑战，这似乎令人生畏。但是，您不必聘请一支由Java专家组成的团队，他们花了数年时间学习用字节码编写的语言的细微差别。此外，大多数Java专家成为开发人员，而不是安全专家。无论如何，这样的团队每年的运营成本将达到数百万美元。

将安全平台从头开始实施到为Java构建的策略中。通过使用这些，您可以确保您的安全平台专为解决使用Java的企业所面临的独特安全挑战而设计。

这些产品的主要功能之一是能够检测和防止利用Java应用程序中动态加载代码的攻击。他们可以拦截和分析对JVM （ Java虚拟机）的所有调用，允许他们检测和阻止任何将恶意代码注入Java应用程序的尝试。

还可以考虑实施规则引擎，使企业能够为Java应用程序定义自定义的不可变安全策略。这使您可以轻松地在整个Java应用程序组合中管理和实施安全控制，无论应用程序的复杂性或生态系统的大小如何。

除了其安全优势外，通过使用位于JVM中的轻量级代理，特定于Java的平台可以提供实时保护，而不会影响应用程序性能或要求对应用程序代码进行任何更改。

要立即开始实施特定于Java的应用程序安全，请单击此处。

更多内容

除了上面提到的内容，还有几个点值得注意。首先是浏览器的兼容性，不同浏览器对Web Crypto API的支持程度有所不同。其次是性能问题，加密操作在大量数据时可能会影响用户体验。最后是密钥管理，如何安全地存储和传输密钥也是一个需要考虑的问题。

篇幅原因就先写这么多，后面有空会再补充更多实战案例。有问题评论区见。

Reference: The JVM Problem: Java Programs Require Java-Specific Security